卡巴斯基:發(fā)現(xiàn)Gaza網(wǎng)絡(luò)犯罪組織
發(fā)布時間:2015-10-26全球知名的信息安全供應(yīng)商――卡巴斯基實驗室提醒人們注意一個名為“加沙網(wǎng)絡(luò)黑幫(TheGazacbergang)”且使用阿拉伯語的網(wǎng)絡(luò)犯罪組 織,。該網(wǎng)絡(luò)犯罪組織的活動范圍主要位于MENA地區(qū)(中東和北非),,集中在埃及、阿聯(lián)酋和也門,。該組織早在2012年就開始活動,,在2015年第二季度和 第三季度尤為活躍。這些攻擊者主要針對政府機構(gòu),,尤其是大使館進行攻擊,。其主要攻擊目標(biāo)為IT和應(yīng)急響應(yīng)小組人員。
據(jù)了解,,Gaza網(wǎng)絡(luò)黑幫會主動發(fā)送惡意文件給信息技術(shù)(IT)和應(yīng)急響應(yīng)(IR)人員,。眾所周知,在組織內(nèi)部,,IT人員通常比其他員工擁有更多的 訪問權(quán)限,,因為這些人員需要管理和操作基礎(chǔ)設(shè)施。所以,,對網(wǎng)絡(luò)罪犯而言,,獲取這些人員設(shè)備的訪問權(quán)遠比普通用戶具有價值。應(yīng)急響應(yīng)人員需要對網(wǎng)絡(luò)事件進行 調(diào)查,,因而同樣能夠訪問一些組織內(nèi)部的敏感數(shù)據(jù),,同時還具有特殊的訪問權(quán)限,讓他們可以在網(wǎng)絡(luò)上追蹤惡意或可疑行為,。
盡管Gaza網(wǎng)絡(luò)犯罪組織的攻擊目標(biāo)主要為政府機構(gòu),,但他們使用的均為知名的遠程控制工具(RAT),例如XtremeRAT和 PosionIvy,。Gaza黑幫主要通過釣魚郵件,,感染受害者。通過使用簡單的感染工具和社交工程技巧,,括使用特殊的文件名,、內(nèi)容和域名(例如 gov.uae.k*m),他們可以成功感染目標(biāo),。網(wǎng)絡(luò)罪犯用來在受害者計算機上釋放惡意軟件的文件名很多,,包括:
“IndicationsofdisagreementbetweenSaudiArabiaandUAE.exe”,
“WikileaksdocumentsonSheikh.exe”,
“ScandalouspicturesofEgyptianmilitants,judgesandconsultants”,
“PresidentMahmoudAbbascursingMajedFaraj.exe”,
“LeakedconversationwiththeEgyptianleaderofmilitaryforcesSodqiSobhi.exe”,
“Secret_Report.exe”,
“MilitaryPolicelessmilitarysexualoffenses,drugoffensesmore.exe”
對于上述重大發(fā)現(xiàn),卡巴斯基實驗室全球研究和分析團隊資深安全研究員MohammadAminHasbini表示:“根據(jù)受攻擊目標(biāo)列表,,我們可以 發(fā)現(xiàn)其中包括很多中東和北非地區(qū)的政府機構(gòu),,所以,我們認(rèn)為這起網(wǎng)絡(luò)攻擊具有政治目的,。通過獲取被感染計算機的控制權(quán)和訪問權(quán),,網(wǎng)絡(luò)罪犯有機會竊取重要的 信息,并且可能造成嚴(yán)重的破壞,。對網(wǎng)絡(luò)攻擊進行定性非常復(fù)雜,,而且很多時候是無法做到的,。目前,我們?nèi)圆恢肋@起攻擊的幕后指使人是誰,?!?/span>
為了避免遭受該網(wǎng)絡(luò)犯罪組織的感染,卡巴斯基實驗室安全專家推薦用戶采取以下措施:
提防帶有附件的電子郵件;
保持軟件更新,,尤其是使用廣泛且經(jīng)常被網(wǎng)絡(luò)罪犯利用進行攻擊的軟件;
如果你發(fā)現(xiàn)自己的設(shè)備上有包含漏洞的軟件,,而且目前還沒有補丁可用,請暫時不要使用該軟件;
使用可靠的反惡意軟件解決方案,。例如,,卡巴斯基實驗室針對個人和企業(yè)用戶的安全產(chǎn)品能夠提供強大的安全保護,其效力已在眾多權(quán)威測試中得到證實,。
